Cela fait maintenant deux ans que le Règlement Général sur la Protection des Données (RGPD) est en vigueur en France. Aujourd’hui, le RGPD est toujours d’actualité.
Lors d’un recrutement ou d’une GPEC, les services RH des entreprises font généralement appel aux moyens informatiques. Ces outils regorgent de données en tout genre sur les candidats ou employés de l’entreprise.
En qualité de recruteur, il devient légitime de vous questionner sur la conformité des méthodes de collecte de l’information que vous utilisez ? Quel est le type d’informations pouvant être utilisées ? Dans quel contexte les utiliser ? Combien de temps les conserver ? Quels sont les types de traitement faisant l’objet d’une interdiction ?
En quoi consiste le RGPD ?
L’acronyme RGPD signifie Règlement Général sur la Protection des Données. Le RGPD encadre les activités de traitement des données personnelles dans la zone UE. Le RGPD dispose d’un cadre juridique souple afin de s’actualiser en fonction des évolutions technologiques. En somme, le RGPD permet d’harmoniser l’ensemble des règles en vigueur dans l’union européenne relatives à la protection des données. D’un côté, il garantit un contexte juridique équitable et compétitif pour les entreprises. De l’autre, il permet d’établir une relation de confiance entre les entreprises et les utilisateurs en garantissant le respect de la vie privée.
Qu’est-ce qu’une donnée personnelle ?
Donnée d’identification directe OU donnée d’identification indirecte.
La CNIL définit la notion de donnée personnelle comme suit : « toute information se rapportant à une personne physique identifiée ou identifiable est considérée comme une donnée personnelle. » On distingue donc deux types de données personnelles. D’une part, celles relatives à l’identification directe de l’utilisateur et de l’autre, celles relatives à son identification indirecte.
L’identification directe d’un utilisateur fait référence aux informations que l’on retrouve sur une carte d’identité : prénom, nom, adresse, etc. L’identification indirecte est, quant à elle, une information généralement chiffrée, tel qu’un numéro d’identification par exemple.
Ainsi, parmi les types de fichiers concernés, les bases de données clients et prospects se retrouvent généralement en ligne de mire. L’enregistrement de dossier de candidature, permettant de recueillir un large éventail de données personnelles, est lui aussi concerné de très près par le RGPD. Au niveau des recrutements, la RGPD transforme la façon de collecter, de traiter et de sauvegarder les informations d’un candidat.
Le droit à la portabilité des données personnelles
L’une des caractéristiques les plus importantes à souligner dans le RGPD relève du droit à la portabilité des données. En somme, le droit à la portabilité des données oblige l’entreprise à fournir aux utilisateurs leurs données personnelles dans un format exploitable. Par conséquent, les utilisateurs, tels que des candidats, sont désormais en droit de réclamer toute information nominative recueillie par l’entreprise les concernant.
Au-delà de rendre les données personnelles consultables, le RGPD octroie également la possibilité à l’utilisateur de les réclamer sur demande ou de faire une demande de suppression intégrale.
Afin de retracer la provenance de données personnelles concernant vos candidats et les retrouver facilement, il est fortement conseillé de se munir d’un logiciel de gestion. Ainsi, vous serez en mesure de répondre rapidement aux éventuelles réclamations et d’éviter des sanctions de non-conformité.
Comme toutes les catégories d’utilisateurs, les candidats disposent d’un droit à l’oubli en matière de données personnelles. Il faudra donc s’assurer de pouvoir leur transmettre l’ensemble des données stockées sur leur compte, telles que :
- Coordonnées personnelles
- CV
- Lettre de motivation
Les candidats devront être en mesure de modifier et supprimer leurs données personnelles facilement. Soit en formulant une demande auprès du service concerné. Soit de leur propre chef s’ils possèdent un compte carrière.
Vous devrez au préalable recueillir leur consentement concernant la collecte et le traitement de leurs données personnelles. Là aussi, vous devrez également vous assurer de disposer de moyens vous permettant d’automatiser et de centraliser vos demandes tout en conservant une trace de celles-ci.
La sécurisation des données RH et recrutement
Le RGPD exige par la même occasion de sécuriser les données personnelles. Les entreprises sont ainsi tenues de mettre en place les dispositifs nécessaires à la sécurisation de leurs données utilisateurs. Par conséquent, toutes les données relatives aux Ressources Humaines et au recrutement doivent être stockées sur des serveurs sécurisés, de préférence situés en Union Européenne. Les candidats peuvent ainsi conserver la confidentialité de leurs données personnelles.
Quelles informations RH font l’objet d’un droit de traitement et de collecte ?
Lors d’un recrutement, les informations recueillies ne doivent être utilisées que pour mesurer la capacité d’un candidat à occuper le poste à pourvoir. Cela concerne par exemple ses compétences, ses diplômes ou son expérience.
Suivant cette logique, il est formellement interdit de lui réclamer son numéro d’identification bancaire ou son numéro de Sécurité Sociale. Cela s’applique également à ses points de vue politique, son appartenance religieuse ou ses activités syndicales.
Or, le recruteur dispose d’un droit à la collecte d’informations complémentaires, considérées comme utiles pour :
- La gestion administrative des employés (personnes à contacter en cas d’urgence, détention d’un permis B, etc)
- L’organisation du travail (photo de profil nécessaire aux documents administratifs, aux documents internes, etc)
- Les actions sociales (déclarations pour la Sécurité Sociale, etc)
Qui peut consulter et exploiter les informations RH au sein d’une entreprise ?
L’accès aux données personnelles des candidats et employés doit être limité
Dans le cadre d’un recrutement, seules les personnes en charge du recrutement et leurs adjuvants sont en droit d’accéder aux données personnelles d’un candidat.
Concernant la GPEC, seules les personnes en charge de la gestion du personnel et de l’administration, peuvent accéder aux informations relatives aux employés.
En outre, les délégués du personnel, délégués syndicaux et Comité d’Entreprise peuvent disposer d’un accès à certaines informations personnelles requises pour l’exercice de leurs activités. Parmi ces données personnelles, on retrouve généralement le nom, la nationalité ou le poste occupé.
Cependant, les délégués syndicaux et Comité d’Entreprise ne peuvent avoir accès aux données personnelles seulement si les personnes concernées sont informées par l’employeur et consentantes.
Ces instances sont en mesure d’envoyer des mails informatifs aux salariés après l’aval de l’employeur, mais sont tenues de respecter le souhait des employés de s’y opposer. Ces derniers doivent pouvoir se désinscrire des listes d’envoi.
Dans un souci de sécurité, les personnes en charge des données personnelles doivent être en mesure de connaître l’historique des différentes connexions et actions des personnes autorisées.
Quelles sont les formalités pour l’employeur ?
L’employeur doit choisir un délégué à la protection des données (DPO). Il sera chargé de la mise en place du RGPD sur tous les fichiers concernés. Les fichiers contenant les informations relatives aux recrutements et à la gestion du personnel devront être déclarés dans le registre des activités de traitement administré par l’employeur.
Vous êtes nommés DPO, voici la marche à suivre.
Quelles informations peuvent faire l’objet d’une collecte et d’un traitement lors d’une évaluation de recrutement ?
Solutions très prisées, les évaluations de compétences en ligne deviennent l’outil de référence de nombreux recruteurs dans le tri et la sélection de candidats. Tout comme les solutions de sourcing en ligne, les évaluations de recrutements font l’objet d’une collecte massive de données personnelles.
Comme évoqué précédemment, les informations personnelles recueillies lors d’un recrutement doivent faire l’objet d’une finalité précise. Les données doivent ainsi permettre de mesurer les aptitudes professionnelles d’un candidat.
Dans le cadre d’une évaluation de compétences, les données recueillies doivent systématiquement répondre à cette finalité. Le candidat doit cependant être tenu informé de la collecte et du traitement de ses données. Il aura un droit de modification.
Il est conseillé de s’orienter vers une solution d’évaluation de compétences en ligne pour centraliser et conserver les données relatives aux candidats. La solution E-TESTING permet de gagner du temps sur ses processus de recrutement tout en s’assurant d’une parfaite conformité RGPD.